Contents
see List프랑스 정부의 공식 신분증 관리 기관 ANTS(Agence Nationale des Titres Sécurisés)가 해킹당했습니다. 프랑스 인구의 약 3분의 1에 해당하는 1900만 건의 개인정보가 통째로 유출됐습니다.
유출된 정보 범위
- 여권번호
- 국가 신분증번호(Carte Nationale d'Identité)
- 운전면허번호
- 이름, 생년월일, 주소
- 전화번호, 이메일
국가가 관리하는 신분 문서 정보 대부분이 털린 셈입니다.
원인: IDOR 취약점
해커가 사용한 기술은 놀랍게도 단순한 IDOR(Insecure Direct Object Reference)였습니다. 사용자 조회 페이지 URL의 ID 파라미터 숫자를 하나씩 바꾸면 다른 시민의 개인정보가 조회되는 구조였던 것입니다. 권한 검사가 아예 빠져 있었기 때문입니다.
해커의 조롱
해커 "breach3d" (별칭 "ExtaseHunters")는 다크웹에서 "진짜 멍청한 구멍이었다(It was really a stupid hole)"는 문장과 함께 데이터를 판매했습니다. 프랑스 정부가 가장 기본적인 인증·권한 검사조차 빼먹은 대표적 사례가 된 것입니다.
탐지·공개 타임라인
- 2026-04-15 — 데이터 다크웹 판매 게시 탐지
- 2026-04-22 — ANTS 공식 확인, 국가 사이버보안기관 ANSSI 조사 개시
- 2026-04-23 — 언론 보도 시작
교훈
IDOR은 대학생 보안 수업 첫날에 나오는 기본 중의 기본 취약점입니다. 정부 기관의 시스템이 이 수준의 점검도 받지 못했다는 사실이 가장 충격적입니다. 규모가 큰 시스템일수록 "당연히 검사됐을 것"이라는 가정이 가장 위험합니다.
자세한 내용은 아래 영상에서 확인하세요.